Kaspersky Lab släpper forskningsresultat kring Wiper

29 aug 2012
Virus News

Antivirus nyheter

I april i år inträffade en rad incidenter när ett skadligt program, med kodnamnet Wiper, attackerade datorsystem med anknytning till oljeanläggningar i västra Asien. I maj inledde Kaspersky Labs forskningsteam, på uppdrag av FN-organet ITU (International Telecommunication Union), en analys av Wiper för att försöka skapa sig en bild av programmets potentiella hot.

Idag släpper Kaspersky Lab undersökningsresultaten från det digitala forensiska analysarbetet av hårddiskbilder från de maskiner som attackerades av Wiper.

Undersökningsresultaten ger insikt i Wipers mycket effektiva angreppsmetod, bland annat dess unika raderingsmönster och destruktiva beteende. Även om jakten på Wiper resulterade i den oavsiktliga upptäckten av det skadliga programmet Flame, har man inte lyckats identifiera Wiper. Wipers effektiva sätt att förstöra maskiner kan ha uppmuntrat andra att utveckla destruktiva skadliga program som exempelvis Shamoon, som dök upp i augusti.

Forskningsresultat:

  • Kaspersky Lab bekräftar att Wiper användes för att attackera datorsystem i västra Asien 21-30 april 2012.
  • Analys av hårddiskbilderna från de datorer som förstördes av Wiper avslöjade ett specifikt mönster för dataradering tillsammans med en särskild skadlig komponent vars namn börjar med ~D. Upptäckten påminner om de skadliga programmen Duqu och Stuxnet som också använde filnamn som började med ~D och som byggde på samma attackplattform: Tilded.
  • Kaspersky Lab började söka efter andra filer som började med ~D genom det globala molnnätverket Kaspersky Security Network (KSN) för att försöka hitta fler filer hos Wiper baserat på kopplingen till Tilded-plattformen.
  • Under arbetets gång identifierade Kaspersky Lab ett stort antal filer i västra Asien med namnet ~DEB93D.tmp. Ytterligare analys visade att denna fil faktiskt var en del av en annan sorts skadligt program: Flame. Det var så Kaspersky Lab upptäckte Flame.
  • Trots att Flame upptäcktes under sökarbetet efter Wiper tror Kaspersky Labs forskningsteam att Wiper och Flame är två separata och distinkta program.
  • Även om Kaspersky Lab har analyserat spår från Wiper-utbrottet är det skadliga programmet fortfarande okänt då inga fler incidenter har inträffat med dataradering som följer samma mönster. Programmet har inte heller påträffats av Kaspersky Labs proaktiva skydd.
  • Wiper var extremt effektivt och kan leda till att andra utvecklar nya, liknande sorters skadliga program, såsom Shamoon.

För mer information om undersökningsresultaten se här:

http://www.securelist.com/en/blog/208193808/What_was_that_Wiper_thing

Copyright © 1997 - 2014 Kaspersky Lab

Med ensamrätt. Branschledande antivirusskydd.